Jump to content

Компьютерный червь

Шестнадцатеричный дамп червя Blaster , показывающий сообщение, оставленное Microsoft генеральному директору Биллу Гейтсу. создателем червя
Распространение червя Conficker

Компьютерный червь — это отдельная вредоносная компьютерная программа , которая копирует себя с целью распространения на другие компьютеры. [1] Для своего распространения он часто использует компьютерную сеть , полагаясь на сбои в системе безопасности целевого компьютера для доступа к нему. Он будет использовать эту машину в качестве хоста для сканирования и заражения других компьютеров. Когда эти новые зараженные червями компьютеры находятся под контролем, червь будет продолжать сканировать и заражать другие компьютеры, используя эти компьютеры в качестве хостов, и такое поведение будет продолжаться. [2] Компьютерные черви используют рекурсивные методы для копирования себя без хост-программ и распространения, используя преимущества экспоненциального роста , таким образом контролируя и заражая все больше и больше компьютеров за короткое время. [3] Черви почти всегда наносят хоть какой-то вред сети, даже если только потребляют пропускную способность , тогда как вирусы почти всегда повреждают или изменяют файлы на целевом компьютере.

Многие черви созданы только для распространения и не пытаются изменить системы, через которые они проходят. Однако, как показали червь Morris и Mydoom , даже эти черви «без полезной нагрузки» могут вызвать серьезные сбои в работе за счет увеличения сетевого трафика и других непредвиденных эффектов.

История [ править ]

червя Морриса Дискета с исходным кодом в Музее истории компьютеров

Термин «червь» впервые был использован в романе Джона Бруннера 1975 года «Наездник на ударной волне » . В романе Николас Хафлингер разрабатывает и запускает червя, собирающего данные, чтобы отомстить влиятельным людям, которые управляют национальной электронной информационной сетью, вызывающей массовое согласие. «У вас в сети болтается самый большой червь, и он автоматически саботирует любую попытку проследить за ним. Никогда еще не было червя с такой крепкой головой или таким длинным хвостом!» [4] «Тогда его осенил ответ, и он чуть не рассмеялся. Флюкнер прибегнул к одному из самых старых трюков в магазине и выпустил в континентальную сеть самовоспроизводящегося солитера, вероятно, возглавляемого группой разоблачителей, «позаимствованной» у крупного Корпорация, которая переключалась с одного узла на другой каждый раз, когда его кредитный код вводился на клавиатуре. На уничтожение такого червя могли уйти дни, а иногда и недели. [4]

Второй компьютерный червь был разработан как антивирусное программное обеспечение. Названный Reaper , он был создан Рэем Томлинсоном для репликации себя в сети ARPANET и удаления экспериментальной программы Creeper (первого компьютерного червя, 1971 год).

2 ноября 1988 года Роберт Таппан Моррис , аспирант Корнельского университета в области компьютерных наук, запустил так называемый червь Морриса , нарушивший работу многих компьютеров в Интернете, которые, как предполагалось в то время, составляли одну десятую часть всех подключенных к нему компьютеров. [5] В ходе апелляционного процесса Морриса Апелляционный суд США оценил стоимость удаления червя из каждой установки в сумму от 200 до 53 000 долларов; эта работа послужила толчком к созданию Координационного центра CERT. [6] и список рассылки Phage. [7] Сам Моррис стал первым человеком, которого судили и осудили по Закону о компьютерном мошенничестве и злоупотреблениях 1986 года . [8]

Conficker , компьютерный червь, обнаруженный в 2008 году и ориентированный в первую очередь на операционные системы Microsoft Windows , представляет собой червь, использующий три различные стратегии распространения: локальное зондирование, зондирование соседства и глобальное зондирование. [9] Этот червь считался гибридной эпидемией и поразил миллионы компьютеров. Термин «гибридная эпидемия» используется из-за трех отдельных методов распространения, которые были обнаружены в результате анализа кода. [10]

Особенности [ править ]

Независимость

Компьютерным вирусам обычно требуется хост-программа. [11] Вирус записывает свой собственный код в хост-программу. При запуске программы сначала запускается написанная вирусная программа, вызывая заражение и повреждение. Червю не нужна хост-программа, поскольку он представляет собой независимую программу или фрагмент кода. Таким образом, он не ограничен хост-программой , но может работать независимо и активно осуществлять атаки. [12] [13]

Эксплойт-атаки

Поскольку червь не ограничен хостовой программой, черви могут использовать различные уязвимости операционной системы для проведения активных атак. Например, вирус « Nimda » использует уязвимости для атак.

Сложность

Некоторые черви объединяются со сценариями веб-страниц и скрываются на HTML страницах с помощью VBScript , ActiveX и других технологий. Когда пользователь заходит на веб-страницу, содержащую вирус, вирус автоматически сохраняется в памяти и ожидает срабатывания. Существуют также черви, сочетающиеся с программами- бэкдорами или троянскими конями , например " Code Red ". [14]

Заразность

Черви более заразны, чем традиционные вирусы. Они заражают не только локальные компьютеры, но также все серверы и клиенты сети на базе локального компьютера. Черви могут легко распространяться через общие папки , электронную почту , [15] вредоносные веб-страницы и серверы с большим количеством уязвимостей в сети. [16]

Вред [ править ]

Любой код, предназначенный не только для распространения червя, обычно называется « полезной нагрузкой ». Типичные вредоносные программы могут удалять файлы в хост-системе (например, червь ExploreZip ), шифровать файлы при атаке программы-вымогателя или похищать такие данные , как конфиденциальные документы или пароли. [ нужна ссылка ]

Некоторые черви могут установить бэкдор . Это позволяет автору червя удаленно управлять компьютером как « зомби ». Сети таких машин часто называют ботнетами и очень часто используются для различных вредоносных целей, включая рассылку спама или выполнение DoS- атак. [17] [18] [19]

Некоторые специальные черви целенаправленно атакуют промышленные системы. Stuxnet в основном передавался через локальные сети и зараженные флэш-накопители, поскольку его цели никогда не были подключены к ненадежным сетям, таким как Интернет. Этот вирус может уничтожить основное компьютерное программное обеспечение для управления производством, используемое химическими, энергетическими и передающими компаниями в различных странах мира (в случае Stuxnet больше всего пострадали Иран, Индонезия и Индия). Его использовали для «выдачи заказов» другим компаниям. оборудование на заводе и скрыть эти команды от обнаружения. Stuxnet использовал множество уязвимостей и четыре различных эксплойта нулевого дня (например: [1] ) в системах Windows и системах Siemens SIMATICWinCC для атаки на встроенные программируемые логические контроллеры промышленных машин. Хотя эти системы работают независимо от сети, если оператор вставит зараженный вирусом накопитель в USB-интерфейс системы, вирус сможет получить контроль над системой без каких-либо других эксплуатационных требований или подсказок. [20] [21] [22]

Контрмеры [ править ]

Черви распространяются, используя уязвимости в операционных системах.Поставщики, у которых есть проблемы с безопасностью, регулярно предоставляют обновления безопасности. [23] (см. « Вторник обновлений »), и если они установлены на машине, то большинство червей не смогут на нее распространиться. Если уязвимость обнаружена до того, как производитель выпустил исправление безопасности, атака нулевого дня возможна .

Пользователям следует опасаться открытия неожиданных писем, [24] [25] и не должен запускать вложенные файлы или программы или посещать веб-сайты, на которые есть ссылки в таких электронных письмах. Однако, как и в случае с червем ILOVEYOU , а также с увеличением роста и эффективности фишинговых атак, остается возможность обманом заставить конечного пользователя запустить вредоносный код.

Антивирусное и антишпионское программное обеспечение полезно, но его необходимо обновлять новыми файлами шаблонов не реже одного раза в несколько дней. использовать брандмауэр . Также рекомендуется

Пользователи могут свести к минимуму угрозу, исходящую от червей, обновляя операционную систему и другое программное обеспечение своих компьютеров, избегая открытия нераспознанных или неожиданных электронных писем и запуская брандмауэр и антивирусное программное обеспечение. [26]

Методы смягчения включают в себя:

Иногда заражение можно обнаружить по их поведению: обычно оно случайным образом сканирует Интернет в поисках уязвимых узлов для заражения. [27] [28] Кроме того, методы машинного обучения можно использовать для обнаружения новых червей путем анализа поведения подозреваемого компьютера. [29]

Черви с добрыми намерениями [ править ]

или Полезный червь анти -червь — это червь, созданный для того, чтобы делать что-то, что его автор считает полезным, хотя и не обязательно с разрешения владельца исполняющего компьютера. Начиная с первых исследований червей в Xerox PARC , предпринимались попытки создать полезных червей. Эти черви позволили Джону Шоху и Джону Хаппу протестировать принципы Ethernet в своей сети компьютеров Xerox Alto . [30] Аналогичным образом, черви семейства Nachi пытались загрузить и установить патчи с веб-сайта Microsoft для устранения уязвимостей в хост-системе, используя те же самые уязвимости. [31] На практике, хотя это могло сделать эти системы более безопасными, оно создавало значительный сетевой трафик, перезагружало машину в процессе установки исправлений и выполняло свою работу без согласия владельца или пользователя компьютера. Независимо от их полезной нагрузки и намерений их авторов, эксперты по безопасности считают всех червей вредоносными программами . Другим примером этого подхода является исправление в ОС Roku ошибки, позволяющей рутировать ОС Roku посредством обновления каналов заставки, которые скринсейвер попытается подключить к telnet и исправить устройство. [32]

В одном исследовании был предложен первый компьютерный червь, который работает на втором уровне модели OSI (уровень канала передачи данных), используя информацию о топологии, такую ​​​​как таблицы контентно-адресуемой памяти (CAM) и информацию связующего дерева, хранящуюся в коммутаторах, для распространения и поиска уязвимых узлов. пока сеть предприятия не будет покрыта. [33]

использовались античерви Для борьбы с последствиями « Красного кода» . [34] Бластер и черви Санти . Welchia — пример полезного червя. [35] Используя те же недостатки, которые использовал червь Blaster , Welchia заразила компьютеры и автоматически начала загрузку обновлений безопасности Microsoft для Windows без согласия пользователей. Welchia автоматически перезагружает зараженные компьютеры после установки обновлений. Одним из таких обновлений стал патч, исправляющий эксплойт. [35]

Другими примерами полезных червей являются «Den_Zuko», «Cheeze», «CodeGreen» и «Millenium». [35]

Художественные черви помогают художникам создавать масштабные эфемерные произведения искусства. Он превращает зараженные компьютеры в узлы, вносящие вклад в произведение искусства. [36]

См. также [ править ]

Ссылки [ править ]

  1. ^ Барвайз, Майк. «Что такое интернет-червь?» . Би-би-си. Архивировано из оригинала 24 марта 2015 г. Проверено 9 сентября 2010 г.
  2. ^ Чжан, Чанван; Чжоу, Ши; Чейн, Бенджамин М. (15 мая 2015 г.). «Гибридные эпидемии — пример компьютерного червя Conficker» . ПЛОС ОДИН . 10 (5): e0127478. arXiv : 1406.6046 . Бибкод : 2015PLoSO..1027478Z . дои : 10.1371/journal.pone.0127478 . ISSN   1932-6203 . ПМЦ   4433115 . ПМИД   25978309 .
  3. ^ Марион, Жан-Ив (28 июля 2012 г.). «От машин Тьюринга до компьютерных вирусов» . Философские труды Королевского общества A: Математические, физические и технические науки . 370 (1971): 3319–3339. Бибкод : 2012RSPTA.370.3319M . дои : 10.1098/rsta.2011.0332 . ISSN   1364-503X . ПМИД   22711861 .
  4. Перейти обратно: Перейти обратно: а б Бруннер, Джон (1975). Наездник ударной волны . Нью-Йорк: Ballantine Books. ISBN  978-0-06-010559-4 .
  5. ^ «Подводная лодка» . www.paulgraham.com .
  6. ^ «Безопасность Интернета» . CERT/CC .
  7. ^ «Список рассылки фагов» . Securitydigest.org. Архивировано из оригинала 26 июля 2011 г. Проверено 17 сентября 2014 г.
  8. ^ Дресслер, Дж. (2007). «Соединенные Штаты против Морриса». Дела и материалы по уголовному праву . Сент-Пол, Миннесота: Томсон/Вест. ISBN  978-0-314-17719-3 .
  9. ^ Чжан, Чанван; Чжоу, Ши; Чейн, Бенджамин М. (15 мая 2015 г.). «Гибридные эпидемии — пример компьютерного червя Conficker» . ПЛОС ОДИН . 10 (5): e0127478. arXiv : 1406.6046 . Бибкод : 2015PLoSO..1027478Z . дои : 10.1371/journal.pone.0127478 . ISSN   1932-6203 . ПМЦ   4433115 . ПМИД   25978309 .
  10. ^ Чжан, Чанван; Чжоу, Ши; Чейн, Бенджамин М. (15 мая 2015 г.). Сунь, Гуй-Цюань (ред.). «Гибридные эпидемии — пример компьютерного червя Conficker» . ПЛОС ОДИН . 10 (5): e0127478. arXiv : 1406.6046 . Бибкод : 2015PLoSO..1027478Z . дои : 10.1371/journal.pone.0127478 . ISSN   1932-6203 . ПМЦ   4433115 . ПМИД   25978309 .
  11. ^ «Червь против вируса: в чем разница и имеет ли это значение?» . Червь против вируса: в чем разница и имеет ли это значение? . Проверено 8 октября 2021 г.
  12. ^ Эй, Сан-Су. (2012). Информатика и ее приложения: CSA 2012, Чеджу, Корея, 22-25.11.2012 . Спрингер. п. 515. ИСБН  978-94-007-5699-1 . OCLC   897634290 .
  13. ^ Ю, Вэй; Чжан, Нань; Фу, Синьвэнь; Чжао, Вэй (октябрь 2010 г.). «Самодисциплинарные черви и меры противодействия: моделирование и анализ». Транзакции IEEE в параллельных и распределенных системах . 21 (10): 1501–1514. дои : 10.1109/tpds.2009.161 . ISSN   1045-9219 . S2CID   2242419 .
  14. ^ Брукс, Дэвид Р. (2017), «Введение в HTML», Программирование на HTML и PHP , Темы бакалавриата по информатике, Springer International Publishing, стр. 1–10, doi : 10.1007/978-3-319-56973-4_1 , ISBN  978-3-319-56972-7
  15. ^ Дэн, Юэ; Пей, Юнчжэнь; Ли, Чанго (09 ноября 2021 г.). «Оценка параметров модели восприимчивого – зараженного – выздоровевшего – мертвого компьютерного червя» . Моделирование . 98 (3): 209–220. дои : 10.1177/00375497211009576 . ISSN   0037-5497 . S2CID   243976629 .
  16. ^ Лоутон, Джордж (июнь 2009 г.). «По следам червя Conficker». Компьютер . 42 (6): 19–22. дои : 10.1109/mc.2009.198 . ISSN   0018-9162 . S2CID   15572850 .
  17. ^ Рэй, Тирнан (18 февраля 2004 г.). «Бизнес и технологии: Вирусы электронной почты обвиняются в резком росте спама» . Сиэтл Таймс . Архивировано из оригинала 26 августа 2012 года . Проверено 18 мая 2007 г.
  18. ^ Маквильямс, Брайан (9 октября 2003 г.). «Масковое устройство, созданное для спамеров» . Проводной .
  19. ^ «Расследованы хакерские угрозы букмекерам» . Новости Би-би-си . 23 февраля 2004 г.
  20. ^ Бронк, Кристофер; Тикк-Рингас, Энекен (май 2013 г.). «Кибератака на Saudi Aramco». Выживание . 55 (2): 81–96. дои : 10.1080/00396338.2013.784468 . ISSN   0039-6338 . S2CID   154754335 .
  21. ^ Линдси, Джон Р. (июль 2013 г.). «Stuxnet и пределы кибервойны». Исследования безопасности . 22 (3): 365–404. дои : 10.1080/09636412.2013.816122 . ISSN   0963-6412 . S2CID   154019562 .
  22. ^ Ван, Гуанвэй; Пан, Хонг; Фан, Мингю (2014). «Динамический анализ предполагаемого вредоносного кода Stuxnet». Материалы 3-й Международной конференции по информатике и сервисным системам . Том. 109. Париж, Франция: Атлантис Пресс. дои : 10.2991/csss-14.2014.86 . ISBN  978-94-6252-012-7 .
  23. ^ «Список УСН» . Убунту . Проверено 10 июня 2012 г.
  24. ^ «Описание угрозы Email-Worm» . Архивировано из оригинала 16 января 2018 г. Проверено 25 декабря 2018 г.
  25. ^ «Email-Worm:VBS/LoveLetter Описание | F-Secure Labs» . www.f-secure.com .
  26. ^ «Информация о компьютерных червях и этапы их удаления» . Веракод. 2014-02-02 . Проверено 4 апреля 2015 г.
  27. ^ Селлке, Ш.; Шрофф, Северная Каролина; Багчи, С. (2008). «Моделирование и автоматизированное сдерживание червей». Транзакции IEEE для надежных и безопасных вычислений . 5 (2): 71–86. дои : 10.1109/tdsc.2007.70230 .
  28. ^ «Новый способ защиты компьютерных сетей от интернет-червей» . Новости . Проверено 5 июля 2011 г.
  29. ^ Москович, Роберт; Эловичи, Юваль; Рокач, Лиор (2008). «Обнаружение неизвестных компьютерных червей на основе поведенческой классификации хоста». Вычислительная статистика и анализ данных . 52 (9): 4544–4566. дои : 10.1016/j.csda.2008.01.028 . S2CID   1097834 .
  30. ^ Шох, Джон; Хапп, Джон (март 1982 г.). «Программы-черви — ранний опыт распределенных вычислений» . Коммуникации АКМ . 25 (3): 172–180. дои : 10.1145/358453.358455 . S2CID   1639205 .
  31. ^ «Вирусное предупреждение о черве Nachi» . Майкрософт.
  32. ^ «Укорени мой Року» . Гитхаб .
  33. ^ Аль-Саллум, ЗС; Вольтхузен, С.Д. (2010). «Самовоспроизводящийся агент обнаружения уязвимостей на канальном уровне». Симпозиум IEEE по компьютерам и коммуникациям . п. 704. дои : 10.1109/ISCC.2010.5546723 . ISBN  978-1-4244-7754-8 . S2CID   3260588 .
  34. ^ «Анти-черви vnunet.com борются с угрозой Code Red» . 14 сентября 2001 г. Архивировано из оригинала 14 сентября 2001 г.
  35. Перейти обратно: Перейти обратно: а б с Червь Welchia . 18 декабря 2003 г. с. 1 . Проверено 9 июня 2014 г.
  36. ^ Эйкок, Джон (15 сентября 2022 г.). «Рисунок Интернета» . Леонардо . 42 (2): 112–113 – через MUSE.

Внешние ссылки [ править ]


Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: ee59350ad9c491f9a6e8c7424c00e88e__1718191680
URL1:https://arc.ask3.ru/arc/aa/ee/8e/ee59350ad9c491f9a6e8c7424c00e88e.html
Заголовок, (Title) документа по адресу, URL1:
Computer worm - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)